• Article

System Center

Présentation de System Center Mobile Device Manager 2008

Matt Fontaine

 

Vue d'ensemble:

  • Système type de gestion des périphériques mobiles
  • Extension d'Active Directory à Windows Mobile
  • Inscription, configuration et inventaire des périphériques Windows Mobile

Le lancement de Microsoft System Center Mobile Device Manager 2008 est un développement passionnant pour les gestionnaires de périphériques exécutant Windows Mobile sur les réseaux d'entreprise. En réunissant des fonctionnalités de gestion de périphériques, de gestion de la sécurité et de VPN mobile

dans un produit unique, cette nouvelle offre permet de réduire le fardeau administratif et d'améliorer le retour sur investissement des périphériques mobiles.

Mobile Device Manager permet aux professionnels de l'informatique d'exploiter les infrastructures Active Directory® et de Stratégie de groupe en place pour appliquer les paramètres de périphérique. Les fonctionnalités de gestion de périphériques par voie hertzienne permettent de procéder facilement à des mises à jour et des installations d'applications sur les périphériques, tandis que la fonctionnalité d'attribution automatique de privilèges par voie hertzienne rend le déploiement à la fois plus facile et plus évolutif. Le VPN mobile permet aux utilisateurs d'accéder aux données et aux applications derrière le pare-feu tout en offrant une connexion permanente, permettant aux administrateurs de contrôler les périphériques déployés. Le regroupement de ces fonctionnalités dans un produit extensible, personnalisable et évolutif, fait de Mobile Device Manager un outil indispensable pour tous les professionnels de l'informatique.

Besoins de gestion

Le télétravail devrait maintenir sa croissance rapide au cours des années à venir. Les périphériques mobiles ont toujours été plus difficiles à gérer que les équipements de réseau du fait même de leur mobilité. Ils se connectent au réseau de différentes façons, et certains périphériques ne sont pas aussi sécurisés que d'autres. Ils peuvent fonctionner en dehors du pare-feu, utiliser des systèmes d'exploitation différents des périphériques client, sans oublier qu'ils sont petits et faciles à égarer.

Les fonctionnalités étendues des périphériques mobiles modernes apportent de nombreux avantages aux entreprises et aux utilisateurs, mais la prise en charge de ces périphériques en est d'autant plus complexe. Ceci risque d'exposer les données et les réseaux d'entreprise à des risques de sécurité supplémentaires, surtout lorsque les périphériques sont utilisés pour accéder à des applications métier clés et aux données clients. Ces périphériques peuvent provoquer des problèmes graves et urgents de sécurité lorsqu'ils sont perdus, volés ou ne sont pas utilisés correctement.

Dans la mesure où l'écart d'offre de fonctionnalités s'amenuise entre les périphériques mobiles et les clients réseau traditionnels, il devient nécessaire de gérer les périphériques mobiles comme s'il s'agissait d'ordinateurs portables ou de bureau. C'est à cette fin que Mobile Device Manager a été conçu. Dans la mesure où la plate-forme Windows Mobile® devient de plus en plus populaire chez les utilisateurs professionnels, Mobile Device Manager sera amené à devenir un élément clé des systèmes de gestion reposant sur Windows®.

Mobile Device Manager offre une gestion et un contrôle total des périphériques Windows Mobile comme si ces derniers étaient des PC ou des portables en réseau. Trois fonctions clés sont offertes :

Gestion de périphériques Fonctionnalité centralisée et évolutive de configuration, de supervision et de gestion des périphériques Windows Mobile, pouvant desservir plusieurs dizaines de milliers d'utilisateurs par serveur.

Gestion de la sécurité Meilleurs mécanismes de protection des données sensibles et de suivi des périphériques.

VPN mobile Meilleur accès aux données et aux applications derrière le pare-feu grâce la fonctionnalité d'accès permanent.

Mobile Device Manager reprend la philosophie générale de System Center, qui consiste à offrir aux professionnels de l'informatique les meilleurs outils possibles de gestion du parc informatique de l'entreprise, au même niveau que les outils conçus pour les ordinateurs de bureau et les portables. Ce logiciel offre également une interface utilisateur qui paraîtra familière aux utilisateurs de System Center.

Ceci signifie également que la conception de Mobile Device Manager permet de l'intégrer parfaitement à une infrastructure Windows existante. Pour citer quelques exemples, Active Directory et la stratégie de groupe sont exploités, ainsi que les outils d'analyse et de génération de rapport de Microsoft, tels que SQL Server®. Enfin, l'exploitation des composants logiciels enfichables de Microsoft® Management Console et des cmdlets Windows PowerShellTM rend cet outil extensible.

Système Mobile Device Manager

Le système Mobile Device Manager est particulièrement évolutif et permet de prendre en charge des dizaines de milliers de périphériques sur une instance unique, ainsi que plusieurs options de configuration. De façon générale, le côté serveur de Mobile Device Manager comporte quatre grands composants système : un serveur de passerelle, un serveur de gestion de périphériques, un serveur d'inscription et des bases de données SQL Server (voir figure 1).

Figure 1 Système Mobile Device Manager type

Figure 1** Système Mobile Device Manager type **(Cliquer sur l'image pour l'agrandir)

Le serveur de passerelle est généralement installé sur le réseau de périmètre. Il sert de terminal à la connexion réseau d'un périphérique, authentifie les connexions de périphérique entrantes, fournit des adresses IP stables pour les périphériques et exécute d'autres fonctions apparentées à la connectivité réseau ou de périphériques.

Le serveur de gestion de périphériques constitue le centre d'administration et de gestion des périphériques, ce qui inclut la mise en œuvre de stratégies de groupe, de distribution de logiciels par voie hertzienne et les fonctionnalités d'effacement de périphériques. Il est compatible avec les contrôleurs de domaine existants. Les serveurs de gestion de périphériques servent de clients de réseau de substitution pour les périphériques Windows Mobile, ce qui permet à ces périphériques de communiquer avec d'autres systèmes.

Le serveur d'inscription crée des objets de service de domaine Active Directory qui représentent des périphériques mobiles dans le contrôleur de domaine, ce qui permet à ces périphériques d'être gérés comme tout autre membre de domaine. Ce serveur prend également en charge les demandes de certificats et l'extraction pour les périphériques mobiles. Il exploite Active Directory pour authentifier les périphériques avant d'accepter ou d'émettre des certificats d'inscription. Les bases de données SQL Server fournissent un référentiel pour toutes les informations apparentées à la configuration de périphériques, de tâches, de paramètres d'état, et ainsi de suite.

Une fois l'infrastructure en place, Mobile Device Manager dispose de trois types d'interactions avec les périphériques mobiles : inscription de périphériques, établissement de connexions VPN mobile et gestion de périphériques. L'inscription de périphériques est le processus permettant à un périphérique de rejoindre le domaine Active Directory. Mobile Device Manager utilise un « secret partagé », un mot de passe à utilisation unique, pour activer les périphériques à inscrire au moyen de connexions non sécurisées. Une fois inscrit, un périphérique peut établir une connexion VPN mobile avec le serveur de passerelle qui fait transiter le trafic réseau vers le périphérique. Grâce à la connexion VPN mobile, l'administrateur ou le système peut procéder à la gestion de périphériques, en transmettant le logiciel et ses paramètres vers le périphérique.

Extension d'Active Directory à Windows Mobile

Les approches mixtes ou ponctuelles de la sécurité informatique peuvent se révéler plus risquées qu'une approche totalement intégrée. Mobile Device Manager est conçu pour réduire ce type de risque en offrant la possibilité de gérer des périphériques mobiles tels que les PC Windows en exploitant l'infrastructure de services d'Active Directory. Le résultat permet de bénéficier d'une gestion homogène de l'accès et des identités, d'un ciblage de stratégies plus cohérent et d'une configuration unique de sécurité.

Tout comme pour les PC ou les serveurs, les objets de stratégie de groupe apparentés aux périphériques Windows Mobile peuvent être attribués aux unités d'organisation, aux groupes de sécurité et aux filtres WMI (Windows Management Instrumentation). Les administrateurs peuvent également empêcher des périphériques spécifiques d'obtenir des paramètres de stratégie de groupe.

Il existe plus de 130 paramètres et stratégies pour les périphériques Windows Mobile, ce qui permet un contrôle précis des différentes fonctions. Prenons quelques exemples :

  • Les paramètres de mot de passe incluent l'exigence de mot de passe ; le type et la longueur minimale ; l'expiration du mot de passe et l'effacement local de périphériques après un certain nombre de tentatives infructueuses (ce qui inclut la notification du nombre de tentatives restantes).
  • Les paramètres de verrouillage de plate-forme permettent aux administrateurs d'activer ou désactiver les fonctionnalités des périphériques tels qu'un appareil photo, un réseau local sans fil, l'infrarouge, Bluetooth et le stockage amovible. Les protocoles de messagerie POP (Post Office Protocol), IMAP (Internet Message Access Protocol), SMS (Short Message Service) et MMS (Multimedia Messaging Service) peuvent tous être désactivés, ainsi que Windows Update pour Windows Mobile.
  • Mobile Device Manager offre un contrôle précis des applications. Il peut empêcher des périphériques d'exécuter des applications non signées avec des signatures non approuvées ou autoriser des applications non signées spécifiques, à la discrétion de l'administrateur.
  • Pour faciliter la protection des données, l'administrateur peut appliquer le chiffrement de fichiers créés sur des cartes de stockage amovibles (en liant la clé de chiffrement au périphérique). Le chiffrement de périphérique est également disponible pour la protection de données sensibles sur le périphérique. Outre les fichiers qui sont protégés par défaut, l'administrateur peut spécifier des fichiers supplémentaires à chiffrer.
  • Les paramètres de VPN mobile déterminent le niveau de contrôle des utilisateurs sur les connexions VPN de leurs périphériques et peuvent être également utilisés pour définir les niveaux de chiffrement de données.
  • Les paramètres ActiveSync® définissent le format de message, les filtres chronologiques des messages, les tailles maximales, les paramètres de synchronisation, entre autres.
  • Les paramètres S/MIME peuvent nécessiter la signature de messages, le chiffrement de messages ou l'usage d'algorithmes spécifiques.

Ces paramètres, entre autres, prennent en charge différents scénarios. Ils permettent aux professionnels de décider du type d'application à exécuter sur les différents périphériques. Les fonctionnalités matérielles peuvent être activées ou désactivée par voie hertzienne. Par exemple, il est possible de désactiver les appareils photo pour prévenir la violation accidentelle ou intentionnelle d'informations sensibles. Le chiffrement de données peut s'appliquer aux périphériques, aux cartes de stockage amovibles, afin de protéger les données propriétaires figurant sur des périphériques ou des cartes contre tout accès non autorisé.

Les autres outils de gestion de la sécurité font également partie de Mobile Device Manager. Des milliers d'applications sont disponibles pour les périphériques Windows Mobile, ce qui crée pour les administrateurs un besoin évident de contrôle de ce qui peut ou ne peut pas être installé. Mobile Device Manager permet de créer et appliquer des listes d'inclusion et d'exclusion dans ce but. Il offre également des fonctionnalités puissantes de suppression à distance. En raison de la connexion VPN permanente aux périphériques, ces derniers peuvent être supprimés de façon immédiate, sans avoir à attendre leur connexion au réseau et leur synchronisation. Lorsqu'un périphérique est supprimé à distance, il est supprimé du contrôleur de domaine et son certificat est révoqué. Si un périphérique est récupéré par la suite, il peut être défini de façon à rejoindre le domaine lors d'une nouvelle inscription avec un mot de passe à utilisation unique.

Contrôle des périphériques mobiles

Mobile Device Manager est conçu pour rendre la gestion des périphériques Windows Mobile du réseau aussi facile que possible en offrant une fonctionnalité complète de gestion de périphériques sous forme de solution unique, ce qui inclut la fonction de communication par voie hertzienne, les logiciels correspondants et la distribution de mises à jour, sans oublier une gestion complète et centralisée de l'inventaire.

L'inscription automatique par voie hertzienne est une fonctionnalité appelée à devenir très populaire auprès des professionnels de l'informatique et des utilisateurs à l'emploi du temps surchargé. Un utilisateur entre une adresse de messagerie sur un périphérique Windows Mobile 6.1, qui tente de localiser Mobile Device Management Server en fonction de l'adresse donnée. Si le serveur est introuvable, l'utilisateur doit entrer l'adresse de Management Server manuellement. Une fois le serveur trouvé et si l'utilisateur peut s'inscrire, ce dernier doit entrer un code d'authentification à utilisation unique prégénéré par l'administrateur.

L'adresse de messagerie et le code d'authentification sont utilisés pour authentifier l'utilisateur et inscrire son périphérique dans Management Server. Ensuite, les paramètres définis par l'administrateur et les stratégies sont envoyés au périphérique. L'approche d'autoinscription est conçue pour favoriser l'évolutivité du déploiement de périphérique Windows Mobile et pour réduire le temps et l'argent nécessaires pour assurer le bon fonctionnement de ces périphériques.

Les fonctionnalités de distribution des logiciels par voie hertzienne de Mobile Device Manager reposent sur WSUS (Windows Software Update Services) 3.0, la boîte à outils de mise à jour logicielle utilisée par de nombreux professionnels dans le monde. Comme indiqué à la figure 2, WSUS 3.0 offre les fonctionnalités de ciblage et de création de packages d'application indispensables pour les tâches complexes. Les logiciels peuvent être livrés de façon automatique aux périphériques distants en fonction de règles et de stratégies définies par l'administrateur. Comme pour les mises à jour client et serveur, les mises à jour de périphériques mobiles et les correctifs peuvent être automatisés à l'aide de WSUS 3.0. De façon tout aussi importante, les mises à jour automatiques peuvent être désactivées pour la planification et le test du déploiement.

Figure 2 Assistant de distribution de logiciels

Figure 2** Assistant de distribution de logiciels **(Cliquer sur l'image pour l'agrandir)

L'un des plus grands défis de gestion des équipements mobiles déployés à grande échelle est de faire le suivi de toutes les opérations. Mobile Device Manager centralise les informations d'inventaire et fournit des rapports adaptés au contexte et personnalisables reposant sur SQL Server 2005, toujours en reprenant un logiciel que la plupart des utilisateurs connaissent, voire maîtrisent. Les administrateurs peuvent recueillir plusieurs centaines d'informations d'inventaire, ce qui inclut, entre autres, le système d'exploitation et sa version, le modèle de périphérique, les applications installées et les stratégies de sécurité. L'inventaire est extensible, ce qui permet à l'administrateur d'ajouter des paramètres d'éléments et des paramètres de registre.

Pour encore plus de flexibilité, vous pouvez contrôler Mobile Device Manager à l'aide des composants logiciels enfichables de Microsoft Management Console si vous préférez une interface utilisateur graphique (voir figure 3) ou avec la console Windows PowerShell si vous préférez la ligne de commande. Quoi qu'il en soit, le système est extensible et personnalisable. Ceci est essentiel pour les utilisateurs d'entreprise qui souhaitent adapter le logiciel à leur organisation.

Figure 3 Mobile Device Manager Console

Figure 3** Mobile Device Manager Console **(Cliquer sur l'image pour l'agrandir)

VPN mobile

L'échange de messages électroniques et de messages texte sur des périphériques mobiles n'a plus de secrets pour les professionnels de l'informatique. Aujourd'hui, l'un des développements les plus importants de la technologie mobile est la possibilité d'accéder à des données et des applications métier qui résident derrière le pare-feu. Avec des demandes d'accès toujours en hausse, de nouveaux risques en matière de sécurité se présentent, ce qui implique une gestion prudente de cette nouvelle fonctionnalité pour prévenir toute vulnérabilité. Mobile Device Manager offre des fonctionnalités de pointe en termes de VPN mobile, ce qui permet aux utilisateurs d'accéder aux données d'intranet allant de systèmes de gestion de la relation client (CRM) de Microsoft DynamicsTM au SAP, en passant par Siebel. Le modèle est généré en fonction de stratégies d'accès à distance existantes pour les PC de bureau et portables (voir figure 4).

Figure 4 Paramètres de VPN mobile

Figure 4** Paramètres de VPN mobile **(Cliquer sur l'image pour l'agrandir)

Le VPN mobile connecte le périphérique au serveur de passerelle à l'aide d'une fonctionnalité de sécurité à double enveloppe, où les données sont transmises dans un formulaire chiffré par SSL au moyen d'un tunnel IPsec chiffré. Lorsque le périphérique est authentifié, l'utilisateur a accès aux ressources selon la stratégie propre à la ressource et ses informations d'identification.

La technologie de VPN mobile utilisée par Mobile Device Manager permet d'établir une connexion permanente, qui offre non seulement aux utilisateurs un meilleur accès, mais encore permet au service informatique de mettre constamment à jour les périphériques en fonction des stratégies et des paramètres et de désactiver immédiatement un périphérique en cas de perte ou de vol. Même si une session est interrompue, une reconnexion rapide permet de s'assurer que la session du périphérique continue, sans nécessiter de nouvelle authentification. Mobile Device Manager assure une transition en douceur entre les réseaux Wi-Fi et cellulaires, tout en préservant la connectivité.

La technologie de sécurité appliquée par le VPN mobile de Mobile Device Manager repose sur des normes reconnues, ce qui inclut OMA DM (Open Mobile Alliance for Device Management), IKE (Internet Key Exchange (IKE) version 2 et SCOMO (OMA Software Component Management Object). Ceci permet de s'assurer que le système est plus extensible et facile à personnaliser de façon à s'adapter aux différentes situations auxquelles les services informatiques doivent faire face dans des environnements complexes.

Une solution complète

Mobile Device Manager offre une série complète d'outils de gestion des périphériques Windows Mobile, accessible au moyen d'une interface unique. Il utilise Active Directory et la stratégie de groupe pour mettre en place des outils de sécurité qui permettent de protéger les données, les périphériques et le réseau. La gestion de périphérique est facilitée par l'inscription OTA, la configuration et la mise à jour, ainsi que par des outils d'inventaire puissants. Le VPN mobile est conçu pour apporter les fonctionnalités demandées par les entreprises et les utilisateurs sans pour autant en compromettre la sécurité.

Tout ceci fait partie intégrante du principe qui consiste à faciliter la tâche des professionnels de l'informatique en leur donnant les meilleurs outils de gestion des périphériques mobiles sur le réseau. Mobile Device Manager apporte aux professionnels toute la puissance liée à la mise en place d'expériences utilisateur de qualité, à la réduction des frais d'administration et offre un meilleur retour sur investissement. Tout ceci forme une combinaison véritablement gagnante.

Remerciements à Brian Hoskins, Derek Snyder, Prithvi Raj, Lax Madapaty et Katharine Holdsworth pour leur contribution à cet article.

Matt Fontaine est un auteur indépendant d'articles technologiques et travaille en tant que consultant chez BuzzBee Company. Il travaille dans de nombreux secteurs tels que l'informatique hautes performances, les logiciels d'entreprise, l'analyse des risques, l'immobilier, l'ingénierie, le BTP et les produits de grande consommation. Matt est fier d'avoir fait ses études à Evergreen State College.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.